ILOVEYOU: differenze tra le versioni

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca
Contenuto cancellato Contenuto aggiunto
Ho aggiunto l'informazione che il virus non esiste più
Etichette: Modifica visuale Modifica da mobile Modifica da web per mobile
Myszka (discussione | contributi)
(19 versioni intermedie di 14 utenti non mostrate)
Riga 1: Riga 1:
[[File:Loveletter-wurm.png|thumb|Screenshot di una mail che ha come allegato il worm ILOVEYOU]]
[[File:Loveletter-wurm.png|thumb|Screenshot di una mail che ha come allegato il worm ILOVEYOU]]
'''ILOVEYOU''' è un [[worm]] per [[computer]] che ha attaccato con successo dieci milioni di computer [[Microsoft Windows|Windows]] nel [[2000]], quando venne inviato come [[Posta elettronica#Corpo e allegati|allegato]] su un [[Posta elettronica|messaggio email]] con testo "ILOVEYOU" nella riga dell'[[Posta elettronica#Intestazioni|oggetto]].Al giorno d' oggi il problema di questo virus è stato "fixato"
'''ILOVEYOU''' è un [[worm]] per [[computer]] che ha attaccato con successo dieci milioni di computer [[Microsoft Windows|Windows]] il 4 maggio [[2000]], quando venne inviato come [[Posta elettronica#Corpo e allegati|allegato]] su un [[Posta elettronica|messaggio email]] con testo "ILOVEYOU" nella riga dell'[[Posta elettronica#Intestazioni|oggetto]].<ref>{{Cita web|url=https://attivissimo.blogspot.com/2020/05/20-anni-fa-esplodeva-il-virus-iloveyou.html|titolo=Il Disinformatico: 20 anni fa esplodeva il virus/worm Iloveyou|sito=Il Disinformatico|data=8 maggio 2020|accesso=8 maggio 2020}}</ref>


==Diffusione==
==Diffusione==
Dato che il worm utilizzava le [[mailing list]] come fonti per i destinatari, i messaggi spesso apparivano come provenienti da conoscenti e venivano pertanto considerati "sicuri", fornendo ulteriori incentivi ad aprire l'allegato. Bastavano pochi utenti che accedessero all'allegato per ogni provider per generare i milioni di messaggi che paralizzarono i sistemi [[Post Office Protocol|POP]] sotto il loro peso, senza menzionare il fatto che il worm sovrascrisse milioni di file su [[workstation|stazioni di lavoro]] e [[server]] accessibili.
Dato che il worm utilizzava le [[mailing list]] come fonti per i destinatari, i messaggi spesso apparivano come provenienti da conoscenti e venivano pertanto considerati "sicuri", fornendo ulteriori incentivi ad aprire l'allegato. Bastavano pochi utenti che accedessero all'allegato per ogni provider per generare i milioni di messaggi che paralizzarono i sistemi [[Post Office Protocol|POP]] sotto il loro peso, senza menzionare il fatto che il worm sovrascrisse milioni di file su [[workstation|stazioni di lavoro]] e [[server]] accessibili.


Il worm arrivò nelle [[email|caselle di posta]] a partire dal 5 maggio [[2000]] con il semplice oggetto "ILOVEYOU" e l'allegato "LOVE-LETTER-FOR-YOU.TXT.vbs". L'[[Estensione (file)|estensione]] 'vbs' finale era nascosta di [[Default (informatica)|default]], facendo in modo che gli utenti visulizzassero il nome del file come "LOVE-LETTER-FOR-YOU.TXT" e potessero pensare che fosse un vero file di testo. Non appena aperto l'allegato, il worm inviava una copia di se stesso a chiunque nella [[Rubrica di Windows]] e con l'indirizzo del mittente dell'utente. Inoltre effettuava un certo numero di cambiamenti malevoli al sistema dell'utente.
Il worm arrivò nelle [[email|caselle di posta]] a partire dal 5 maggio [[2000]] con il semplice oggetto "ILOVEYOU" e l'allegato "LOVE-LETTER-FOR-YOU.TXT.vbs". L'[[Estensione (file)|estensione]] 'vbs' finale era nascosta di [[Default (informatica)|default]], facendo in modo che gli utenti visualizzassero il nome del file come "LOVE-LETTER-FOR-YOU.TXT" e potessero pensare che fosse un vero file di testo. Non appena aperto l'allegato, il worm inviava una copia di se stesso a chiunque nella [[Rubrica di Windows]] e con l'indirizzo del mittente dell'utente. Inoltre effettuava un certo numero di cambiamenti malevoli al sistema dell'utente.


Questo meccanismo di propagazione era già noto (principalmente nei [[mainframe]] [[IBM]], piuttosto che in ambienti [[MS Windows]]) e già utilizzato nel [[Christmas Tree EXEC]] del [[1987]] il quale abbatté un certo numero di mainframe nel mondo a quell'epoca.{{Citazione necessaria|data=gennaio 2009}}
Questo meccanismo di propagazione era già noto (principalmente nei [[mainframe]] [[IBM]], piuttosto che in ambienti [[MS Windows]]) e già utilizzato nel [[Christmas Tree EXEC]] del [[1987]] il quale abbatté un certo numero di mainframe nel mondo a quell'epoca.{{Senza fonte}}


Quattro aspetti del worm lo hanno reso effettivo:
Quattro aspetti del worm lo resero efficace:
*Si affidava all'[[ingegneria sociale]] per invogliare gli utenti ad aprire l'allegato ed assicurarsi la sua propagazione continua.
*Si affidava all'[[ingegneria sociale]] per invogliare gli utenti ad aprire l'allegato ed assicurarsi la sua propagazione continua.
*Si basava su un [[algoritmo]] difettoso della [[Microsoft]] per nascondere le estensioni dei file. Windows inizialmente nascose le estensioni per default; l'algoritmo faceva il [[parser|parsing]] dei nomi dei file da destra a sinistra, fermandosi al primo 'periodo' ('punto'). In questo modo l'exploit poteva inserire la seconda estensione del file 'TXT', la quale per l'utente appariva essere l'estensione reale; i file di testo erano considerati presumibilmente innocui.
*Si basava su un [[algoritmo]] difettoso della [[Microsoft]] per nascondere le estensioni dei file. Windows inizialmente nascose le estensioni per default; l'algoritmo faceva il [[parser|parsing]] dei nomi dei file da destra a sinistra, fermandosi al primo 'periodo' ('punto'). In questo modo l'exploit poteva inserire la seconda estensione del file 'TXT', la quale per l'utente appariva essere l'estensione reale; i file di testo erano considerati presumibilmente innocui.
Riga 15: Riga 15:
*Sfruttava le debolezze di progettazione del sistema email, a causa delle quali un programma allegato poteva essere eseguito semplicemente aprendolo e fornire così completo accesso al [[file system]] e al [[registro di sistema|registro]].
*Sfruttava le debolezze di progettazione del sistema email, a causa delle quali un programma allegato poteva essere eseguito semplicemente aprendolo e fornire così completo accesso al [[file system]] e al [[registro di sistema|registro]].
Esistono centinaia di varianti di questo worm.
Esistono centinaia di varianti di questo worm.

==Effetti==
==Effetti==
La diffusione incominciò nelle [[Filippine]] il 5 maggio 2000 e si propagò verso ovest, spostandosi quindi su [[Hong Kong]] e poi in [[Europa]] e negli [[Stati Uniti]].<ref>[http://news.zdnet.com/2100-9595_22-520463.html ZDNet | Technology News, Analysis, Comments and Product Reviews for IT Professionals<!-- Titolo generato automaticamente -->]</ref> causando danni stimati in 5,5 miliardi di [[dollaro statunitense|dollari]].<ref>{{Cita web | url = http://www.catalogs.com/info/travel-vacations/top-10-worst-computer-viruses.html | editore = WHoWhatWhereWhenWhy.com | titolo = ILOVEYOU | accesso=26 maggio 2008}}</ref> Dal 13 maggio [[2000]], sono state riportate 50 milioni di [[infezione (sicurezza informatica)|infezioni]].<ref>{{Cita news|autore=Gary Barker|pubblicazione=The Age|data=13 maggio 2000|titolo=Microsoft Poteva Essere Vittima di Lovebug}}</ref> Gran parte dei danni citati furono causati dalla fatica di liberarsi del worm. Il [[Pentagono]], la [[CIA]], e il [[Parlamento britannico]] dovettero spegnere i loro sistemi di posta per liberarsene, così come fecero molte grandi [[società per azioni]].<ref>http://news.zdnet.com/2100-9595_22-520435.html?legacy=zdnn Parlamento Britannico spegne i suoi sistemi di posta per prevenire danni</ref><br />Il worm sovrascrisse file importanti ([[file musicale|file musicali]], [[file multimediale|multimediali]], ecc.) con una copia di se stesso. Gli unici computer colpiti furono quelli che eseguivano [[sistema operativo|sistemi operativi]] [[Microsoft Windows]], perché il programma era scritto in [[Visual Basic Script]] e interfacciato con la rubrica di [[Outlook Windows]]; i computer che montavano un sistema operativo diverso, pur ricevendo l'email con la copia del worm, non venivano infettati.
La diffusione incominciò nelle [[Filippine]] il 5 maggio 2000 e si propagò verso ovest, spostandosi quindi su [[Hong Kong]] e poi in [[Europa]] e negli [[Stati Uniti]].<ref>{{cita web|url=http://news.zdnet.com/2100-9595_22-520463.html|titolo=ZDNet | Technology News, Analysis, Comments and Product Reviews for IT Professionals<!-- Titolo generato automaticamente -->|urlarchivio=https://web.archive.org/web/20080428220655/http://news.zdnet.com/2100-9595_22-520463.html }}</ref> causando danni stimati in 5,5 miliardi di [[dollaro statunitense|dollari]].<ref>{{Cita web | url = http://www.catalogs.com/info/travel-vacations/top-10-worst-computer-viruses.html | editore = WHoWhatWhereWhenWhy.com | titolo = ILOVEYOU | accesso=26 maggio 2008}}</ref> Dal 13 maggio [[2000]], sono state riportate 50 milioni di [[infezione (sicurezza informatica)|infezioni]].<ref>{{Cita news|autore=Gary Barker|pubblicazione=The Age|data=13 maggio 2000|titolo=Microsoft Poteva Essere Vittima di Lovebug}}</ref> Gran parte dei danni citati furono causati dalla fatica di liberarsi del worm. Il [[Pentagono (edificio)|Pentagono]], la [[CIA]], e il [[Parlamento britannico]] dovettero spegnere i loro sistemi di posta per liberarsene, così come fecero molte grandi [[società per azioni]].<ref>{{cita web |url=http://news.zdnet.com/2100-9595_22-520435.html?legacy=zdnn |titolo=Copia archiviata |accesso=29 dicembre 2009 |urlmorto=sì |urlarchivio=https://web.archive.org/web/20070624041133/http://news.zdnet.com/2100-9595_22-520435.html?legacy=zdnn }} Parlamento Britannico spegne i suoi sistemi di posta per prevenire danni</ref><br />Il worm sovrascrisse file importanti ([[file musicale|file musicali]], [[file multimediale|multimediali]], ecc.) con una copia di se stesso. Gli unici computer colpiti furono quelli che eseguivano [[sistema operativo|sistemi operativi]] [[Microsoft Windows]], perché il programma era scritto in [[Visual Basic Script]] e interfacciato con la rubrica di [[Outlook Windows]]; i computer che montavano un sistema operativo diverso, pur ricevendo l'email con la copia del worm, non venivano infettati.


==Architettura del worm==
==Architettura del worm==
Il worm è scritto utilizzando Microsoft [[Visual Basic Script]] (VBS) e richiede che l'utente esegua lo [[script]] al fine di consegnare il [[Payload (malware)|carico utile]]. Aggiunge un numero di [[Registro di sistema#Struttura del registro di Microsoft Windows|chiavi]] del registro di sistema in modo che il worm sia inizializzato al [[boot]] del sistema. Aggiunge le chiavi "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL", in modo che il worm venga eseguito all'avvio, "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page", con indirizzo "http://www.skyinet.net/", in modo che la pagina iniziale non sia quella definita dell'utente, ma una diversa.
Il worm è scritto utilizzando Microsoft [[Visual Basic Script]] (VBS) e richiede che l'utente esegua lo [[script]] al fine di consegnare il [[Payload (malware)|carico utile]]. Aggiunge un numero di [[Registro di sistema#Struttura del registro di Microsoft Windows|chiavi]] del registro di sistema in modo che il worm sia inizializzato al [[boot]] del sistema. Aggiunge le chiavi "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL", in modo che il worm venga eseguito all'avvio, "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page", con indirizzo "https://web.archive.org/web/20141219062303/http://www.skyinet.net/", in modo che la pagina iniziale non sia quella definita dell'utente, ma una diversa.


Il worm, quindi, cercherà tutte le unità di memorizzazione connesse al computer infetto e rimpiazzerà i file con l'estensione *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA con copie di se stesso, aggiungendo l'estensione .VBS in fondo ai nomi dei file. Il worm troverà anche file *.MP3 e *.MP2, e quando trovati, li renderà nascosti, copierà se stesso con lo stesso nome del file e inserirà l'estensione .VBS.
Il worm, quindi, cercherà tutte le unità di memorizzazione connesse al computer infetto e rimpiazzerà i file con l'estensione *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA con copie di se stesso, aggiungendo l'estensione .VBS in fondo ai nomi dei file. Il worm troverà anche file *.MP3 e *.MP2, e quando trovati, li renderà nascosti, copierà se stesso con lo stesso nome del file e inserirà l'estensione .VBS.
Riga 29: Riga 30:
==Risultati legislativi==
==Risultati legislativi==


Furono segnalati i fratelli filippini [[Irene de Guzman|Irene]] e [[Onel de Guzmán]] di [[Manila]]<ref>[http://archives.cnn.com/2000/ASIANOW/southeast/05/11/ilove.you/ CNN.com - Authorities seek to question pair in "Love Bug' attack - May 11, 2000<!-- Titolo generato automaticamente -->]</ref> come presunti autori del virus; il ragazzo di Irene, [[Reomel Lamores]] fu tenuto in stato di fermo nel maggio 2000 in connessione con l'epidemia del worm insieme a [[Michael Buenafe]], un compagno di studi di de Guzman al [[AMA Computer College]].<ref>http://www.theregister.co.uk/2005/05/11/love_bug_author/</ref>. Onel finalmente si fece avanti ma negò d'aver programmato il worm, sebbene ammise di poter essere stato inavvertitamente responsabile della sua diffusione. Dal momento che non c'erano leggi nelle Filippine contro la scrittura di [[malware]] a quei tempi, fu scarcerato e in agosto i [[pubblica accusa|procuratori]] fecero cadere tutte le accuse a suo carico.
Furono segnalati i fratelli filippini [[Irene de Guzman|Irene]] e [[Onel de Guzmán]] di [[Manila]]<ref>{{Cita web |url=http://archives.cnn.com/2000/ASIANOW/southeast/05/11/ilove.you/ |titolo=CNN.com - Authorities seek to question pair in "Love Bug' attack - May 11, 2000<!-- Titolo generato automaticamente --> |accesso=dicembre 29, 2009 |urlarchivio=https://web.archive.org/web/20090131165752/http://archives.cnn.com/2000/ASIANOW/southeast/05/11/ilove.you/ |urlmorto=sì }}</ref> come presunti autori del virus; il ragazzo di Irene, [[Reomel Lamores]] fu tenuto in stato di fermo nel maggio 2000 in connessione con l'epidemia del worm insieme a [[Michael Buenafe]], un compagno di studi di de Guzman al [[AMA Computer College]].<ref>https://www.theregister.co.uk/2005/05/11/love_bug_author/</ref>. Onel finalmente si fece avanti ma negò d'aver programmato il worm, sebbene ammise di poter essere stato inavvertitamente responsabile della sua diffusione. Dal momento che non c'erano leggi nelle Filippine contro la scrittura di [[malware]] a quei tempi, fu scarcerato e in agosto i [[pubblica accusa|procuratori]] fecero cadere tutte le accuse a suo carico.


==Nella cultura di massa==
==Nella cultura di massa==
Nel 2009, l'[[Upper Deck Entertainment]] commemorò il worm ILoveYou come parte di un insieme di [[figurina|figurine]] [[retrospettiva|retrospettive]] per l'[[anniversario]] del [[XX secolo]]. L'insieme aveva come finalità la cronaca dei maggiori eventi sportivi, politici, di cultura pop, tecnologia e storia del mondo nei 20 anni successivi, dopo che la Upper Deck aveva iniziato la propria attività.<ref>http://sports.upperdeck.com/20thanniversary/CheckList.aspx</ref><ref>http://sports.upperdeck.com/20thanniversary/Default.aspx</ref>
Nel 2009, l'[[Upper Deck Entertainment]] commemorò il worm ILoveYou come parte di un insieme di [[figurina|figurine]] retrospettive per l'[[anniversario]] del [[XX secolo]]. L'insieme aveva come finalità la cronaca dei maggiori eventi sportivi, politici, di cultura pop, tecnologia e storia del mondo nei 20 anni successivi, dopo che la Upper Deck aveva iniziato la propria attività.<ref>{{Cita web |url=http://sports.upperdeck.com/20thanniversary/CheckList.aspx |titolo=Copia archiviata |accesso=29 dicembre 2009 |urlarchivio=https://web.archive.org/web/20091216104652/http://sports.upperdeck.com/20thanniversary/CheckList.aspx |urlmorto=sì }}</ref><ref>{{Cita web |url=http://sports.upperdeck.com/20thanniversary/Default.aspx |titolo=Copia archiviata |accesso=29 dicembre 2009 |urlarchivio=https://web.archive.org/web/20091217105325/http://sports.upperdeck.com/20thanniversary/default.aspx |urlmorto=sì }}</ref>

Il worm è citato nel film del 2023 ''[[Il mondo dietro di te]]'' di [[Sam Esmail]].


==Note==
==Note==
Riga 38: Riga 41:


==Collegamenti esterni==
==Collegamenti esterni==
* {{cita web|http://www.cexx.org/loveletter.htm|Codice Sorgente}}
* {{cita web|url=https://github.com/onx/ILOVEYOU/blob/master/LOVE-LETTER-FOR-YOU.TXT.vbs|titolo=Codice Sorgente}}
* {{cita web|http://rixstep.com/1/20040504,00.shtml|The Love Bug - Un esame retrospettivo}}
* {{cita web|url=http://rixstep.com/1/20040504,00.shtml|titolo=The Love Bug - Un esame retrospettivo}}
* {{cita web|url=http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=9024|titolo=Pagina descrittiva}}
* {{cita web|url=http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=9024|titolo=Pagina descrittiva|urlmorto=sì|urlarchivio=https://web.archive.org/web/20061208172637/http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=9024}}
* "[http://www.theregister.co.uk/2005/05/11/love_bug_author/ Niente 'scuse' dall'autore di Love Bug]" su [[The Register]]
* "{{cita testo|url=https://www.theregister.co.uk/2005/05/11/love_bug_author/|titolo=Niente 'scuse' dall'autore di Love Bug}}" su [[The Register]]
* {{cita web|http://www.cert.org/advisories/CA-2000-04.html|CERT Advisory CA-2000-04 Love Letter Worm}}
* {{cita web|url=https://www.cert.org/advisories/CA-2000-04.html|titolo=CERT Advisory CA-2000-04 Love Letter Worm}}


{{portale|Sicurezza informatica}}
{{portale|sicurezza informatica}}


[[Categoria:Worms informatici]]
[[Categoria:Worms informatici]]

Versione delle 18:49, 5 gen 2024

Screenshot di una mail che ha come allegato il worm ILOVEYOU

ILOVEYOU è un worm per computer che ha attaccato con successo dieci milioni di computer Windows il 4 maggio 2000, quando venne inviato come allegato su un messaggio email con testo "ILOVEYOU" nella riga dell'oggetto.[1]

Diffusione

Dato che il worm utilizzava le mailing list come fonti per i destinatari, i messaggi spesso apparivano come provenienti da conoscenti e venivano pertanto considerati "sicuri", fornendo ulteriori incentivi ad aprire l'allegato. Bastavano pochi utenti che accedessero all'allegato per ogni provider per generare i milioni di messaggi che paralizzarono i sistemi POP sotto il loro peso, senza menzionare il fatto che il worm sovrascrisse milioni di file su stazioni di lavoro e server accessibili.

Il worm arrivò nelle caselle di posta a partire dal 5 maggio 2000 con il semplice oggetto "ILOVEYOU" e l'allegato "LOVE-LETTER-FOR-YOU.TXT.vbs". L'estensione 'vbs' finale era nascosta di default, facendo in modo che gli utenti visualizzassero il nome del file come "LOVE-LETTER-FOR-YOU.TXT" e potessero pensare che fosse un vero file di testo. Non appena aperto l'allegato, il worm inviava una copia di se stesso a chiunque nella Rubrica di Windows e con l'indirizzo del mittente dell'utente. Inoltre effettuava un certo numero di cambiamenti malevoli al sistema dell'utente.

Questo meccanismo di propagazione era già noto (principalmente nei mainframe IBM, piuttosto che in ambienti MS Windows) e già utilizzato nel Christmas Tree EXEC del 1987 il quale abbatté un certo numero di mainframe nel mondo a quell'epoca.[senza fonte]

Quattro aspetti del worm lo resero efficace:

  • Si affidava all'ingegneria sociale per invogliare gli utenti ad aprire l'allegato ed assicurarsi la sua propagazione continua.
  • Si basava su un algoritmo difettoso della Microsoft per nascondere le estensioni dei file. Windows inizialmente nascose le estensioni per default; l'algoritmo faceva il parsing dei nomi dei file da destra a sinistra, fermandosi al primo 'periodo' ('punto'). In questo modo l'exploit poteva inserire la seconda estensione del file 'TXT', la quale per l'utente appariva essere l'estensione reale; i file di testo erano considerati presumibilmente innocui.
  • Si basava sul fatto che il motore di scripting fosse abilitato. Questa era effettivamente un'impostazione di sistema; non è noto se il motore fosse stato utilizzato prima di ciò; la Microsoft ricevette pesanti critiche per aver lasciato uno strumento così potente (e pericoloso) abilitato di default senza che nessuno si preoccupasse della sua esistenza.
  • Sfruttava le debolezze di progettazione del sistema email, a causa delle quali un programma allegato poteva essere eseguito semplicemente aprendolo e fornire così completo accesso al file system e al registro.

Esistono centinaia di varianti di questo worm.

Effetti

La diffusione incominciò nelle Filippine il 5 maggio 2000 e si propagò verso ovest, spostandosi quindi su Hong Kong e poi in Europa e negli Stati Uniti.[2] causando danni stimati in 5,5 miliardi di dollari.[3] Dal 13 maggio 2000, sono state riportate 50 milioni di infezioni.[4] Gran parte dei danni citati furono causati dalla fatica di liberarsi del worm. Il Pentagono, la CIA, e il Parlamento britannico dovettero spegnere i loro sistemi di posta per liberarsene, così come fecero molte grandi società per azioni.[5]
Il worm sovrascrisse file importanti (file musicali, multimediali, ecc.) con una copia di se stesso. Gli unici computer colpiti furono quelli che eseguivano sistemi operativi Microsoft Windows, perché il programma era scritto in Visual Basic Script e interfacciato con la rubrica di Outlook Windows; i computer che montavano un sistema operativo diverso, pur ricevendo l'email con la copia del worm, non venivano infettati.

Architettura del worm

Il worm è scritto utilizzando Microsoft Visual Basic Script (VBS) e richiede che l'utente esegua lo script al fine di consegnare il carico utile. Aggiunge un numero di chiavi del registro di sistema in modo che il worm sia inizializzato al boot del sistema. Aggiunge le chiavi "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL", in modo che il worm venga eseguito all'avvio, "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page", con indirizzo "https://web.archive.org/web/20141219062303/http://www.skyinet.net/", in modo che la pagina iniziale non sia quella definita dell'utente, ma una diversa.

Il worm, quindi, cercherà tutte le unità di memorizzazione connesse al computer infetto e rimpiazzerà i file con l'estensione *.JPG, *.JPEG, *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.DOC *.HTA con copie di se stesso, aggiungendo l'estensione .VBS in fondo ai nomi dei file. Il worm troverà anche file *.MP3 e *.MP2, e quando trovati, li renderà nascosti, copierà se stesso con lo stesso nome del file e inserirà l'estensione .VBS.

Il worm inoltre crea una copia di se stesso nelle directory C:\Windows\ con nome "Win32DLL.vbs" e C:\Windows\System con il nome "LOVE-LETTER-FOR-YOU.TXT.vbs".

Il worm ha anche un componente aggiuntivo, nel quale scaricherà ed eseguirà un programma infetto chiamato indistintamente "WIN-BUGSFIX.EXE" o "Microsoftv25.exe" che serve per rubare le password che poi invierà per email.

Risultati legislativi

Furono segnalati i fratelli filippini Irene e Onel de Guzmán di Manila[6] come presunti autori del virus; il ragazzo di Irene, Reomel Lamores fu tenuto in stato di fermo nel maggio 2000 in connessione con l'epidemia del worm insieme a Michael Buenafe, un compagno di studi di de Guzman al AMA Computer College.[7]. Onel finalmente si fece avanti ma negò d'aver programmato il worm, sebbene ammise di poter essere stato inavvertitamente responsabile della sua diffusione. Dal momento che non c'erano leggi nelle Filippine contro la scrittura di malware a quei tempi, fu scarcerato e in agosto i procuratori fecero cadere tutte le accuse a suo carico.

Nella cultura di massa

Nel 2009, l'Upper Deck Entertainment commemorò il worm ILoveYou come parte di un insieme di figurine retrospettive per l'anniversario del XX secolo. L'insieme aveva come finalità la cronaca dei maggiori eventi sportivi, politici, di cultura pop, tecnologia e storia del mondo nei 20 anni successivi, dopo che la Upper Deck aveva iniziato la propria attività.[8][9]

Il worm è citato nel film del 2023 Il mondo dietro di te di Sam Esmail.

Note

  1. ^ Il Disinformatico: 20 anni fa esplodeva il virus/worm Iloveyou, su Il Disinformatico, 8 maggio 2020. URL consultato l'8 maggio 2020.
  2. ^ ZDNet, su news.zdnet.com (archiviato dall'url originale il 28 aprile 2008).
  3. ^ ILOVEYOU, su catalogs.com, WHoWhatWhereWhenWhy.com. URL consultato il 26 maggio 2008.
  4. ^ Gary Barker, Microsoft Poteva Essere Vittima di Lovebug, in The Age, 13 maggio 2000.
  5. ^ Copia archiviata, su news.zdnet.com. URL consultato il 29 dicembre 2009 (archiviato dall'url originale il 24 giugno 2007). Parlamento Britannico spegne i suoi sistemi di posta per prevenire danni
  6. ^ CNN.com - Authorities seek to question pair in "Love Bug' attack - May 11, 2000, su archives.cnn.com. URL consultato il dicembre 29, 2009 (archiviato dall'url originale il 31 gennaio 2009).
  7. ^ https://www.theregister.co.uk/2005/05/11/love_bug_author/
  8. ^ Copia archiviata, su sports.upperdeck.com. URL consultato il 29 dicembre 2009 (archiviato dall'url originale il 16 dicembre 2009).
  9. ^ Copia archiviata, su sports.upperdeck.com. URL consultato il 29 dicembre 2009 (archiviato dall'url originale il 17 dicembre 2009).

Collegamenti esterni

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica